
Peneliti keamanan dari Blackpoint Cyber menemukan malware Remote Access Trojan (RAT) baru berbasis Rust yang menyamar sebagai software NVIDIA untuk menyusup ke sistem Windows. LabubaRAT, nama yang diberikan oleh peneliti, mendukung beberapa metode komunikasi C2 termasuk HTTPS, WebView2, dan DNS tunneling — menandakan bahwa malware ini dirancang untuk tetap bersembunyi meskipun satu jalur komunikasi terdeteksi.
APA YANG TERJADI?
Para peneliti keamanan siber dari Blackpoint Cyber, Sam Decker dan Nevan Beal, mengidentifikasi malware RAT baru yang sebelumnya tidak terdokumentasi, diberi nama LabubaRAT. Malware ini dibangun menggunakan bahasa pemrograman Rust dan menyamar sebagai software NVIDIA dengan nama executable “nvidia-sysruntime.exe” — mengingatkan pada modus operandi serupa yang digunakan oleh malware NVIDIA lainnya seperti NVIDIA Container Runtime.
“LabubaRAT menciptakan foothold yang dapat digunakan berulang kali untuk aktivitas hands-on. Setelah di-deploy, malware ini dapat mem-profil host, mengidentifikasi tool keamanan, menerima perintah dari operator, memindahkan file, mengambil screenshot, dan meng-Proxy traffic melalui sistem yang terinfeksi,” jelas para peneliti dalam analisis yang dipublikasikan pada 14 Juli 2026.
DETAIL TEKNIS
LabubaRAT memiliki serangkaian kemampuan yang mengkhawatirkan. Malware ini dapat melakukan host profiling untuk mengidentifikasi karakteristik sistem target, mendeteksi keberadaan tool keamanan seperti EDR dan antivirus, menerima perintah command and control dari operator jarak jauh, memindahkan file antara sistem, mengambil screenshot layar, dan melakukan proxy traffic melalui sistem yang terinfeksi. Fitur paling signifikan adalah dukungan multi-channel C2 yang mencakup HTTPS, WebView2, dan DNS tunneling — memungkinkan penyerang untuk mempertahankan akses meskipun satu jalur komunikasi terdeteksi dan ditutup oleh solusi keamanan. Para peneliti juga mencatat adanya indikasi bahwa LabubaRAT ditawarkan sebagai Malware-as-a-Service (MaaS), yang berarti malware ini kemungkinan sudah tersedia untuk diakses oleh berbagai aktor ancaman.
DAMPAK TERHADAP INDONESIA
Indonesia sebagai salah satu pasar terbesar untuk hardware NVIDIA memiliki jumlah instalasi driver dan software NVIDIA yang sangat signifikan di berbagai sektor, termasuk gaming, desain grafis, data center, dan AI. Keberadaan malware yang menyamar sebagai software NVIDIA sangat berbahaya bagi pengguna Indonesia karena kepercayaan tinggi terhadap brand NVIDIA dapat membuat pengguna terjebak dalam mengunduh dan menginstal malware. Dengan adanya model MaaS, akses ke malware ini menjadi semakin luas dan terjangkau oleh aktor ancaman yang beroperasi di kawasan Asia Tenggara.
REKOMENDASI MITIGASI
Pengguna dan organisasi harus selalu mengunduh software NVIDIA hanya dari sumber resmi NVIDIA (nvidia.com) atau melalui mekanisme pembaruan otomatis yang terverifikasi. Periksa hash dan digital signature dari file executable yang akan diinstal. Aktifkan fitur application control dan executable blocklist untuk mencegah eksekusi file yang tidak dikenal. Gunakan solusi EDR yang mampu mendeteksi aktivitas suspicious pada proses yang menggunakan nama seperti “nvidia-sysruntime.exe”. Pantau DNS request untuk mendeteksi pola DNS tunneling yang digunakan oleh LabubaRAT untuk komunikasi C2.
Model MaaS yang digunakan oleh LabubaRAT memperkuat tren bahwa barrier to entry untuk menjadi penyerang semakin rendah. Ketika malware berkualitas tinggi tersedia untuk disewa, satu-satunya pertahanan yang efektif adalah pendekatan defense-in-depth yang ketat dan kesadaran pengguna.
Sumber: The Hacker News